適用対象: WatchGuard Advanced EPDR、WatchGuard EDR、WatchGuard EDR
コンピュータが 「RDP 攻撃封じ込め」モードを終了するモードになっていると、これが IOA (Indicators of Attack) ダッシュボードの Threat Hunting サービス タイルに示されます。「RDP 攻撃封じ込め」モードを終了するモードにより、ハッカーが脆弱なコンピュータ経由で IT ネットワークにアクセスし、横展開して保護対象外の他のデバイスに侵入した後、RDP を使用してあるデバイスから別のデバイスに移動する攻撃を防御することができます。
WatchGuard Endpoint Security では、RDP サービス経由で IT ネットワークのコンピュータに接続しようとする動作が監視されます。単一の IP アドレスで多数の試行が失敗した場合は、WatchGuard Endpoint Security では、影響を受けるコンピュータで 「RDP 攻撃封じ込め」モードを終了するモードが有効化されます。
初期 「RDP 攻撃封じ込め」モードを終了するモード
コンピュータで多数の RDP 接続の試行が無効な認証情報が原因で失敗すると、WatchGuard Endpoint Security で、RDP に対する総当たり攻撃 IOA が生成され、コンピュータが初期 「RDP 攻撃封じ込め」モードを終了するモードになります。
このモードでは、過去 24 時間に多数の接続試行が送信された顧客ネットワーク外の送信元 IP からコンピュータへの RDP アクセスがブロックされます。
特定の IP アドレスを許可して接続をブロックしない場合は、その IP を許可リストに追加することができます。詳細については、RDP 攻撃設定を構成する を参照してください。
制限的 「RDP 攻撃封じ込め」モードを終了するモードを有効化する
以前に無効な認証情報に起因して接続に失敗したアカウントで、攻撃者からの正常なログイン試行が発生すると、初期 「RDP 攻撃封じ込め」モードを終了するモードのコンピュータが制限的 「RDP 攻撃封じ込め」モードを終了するモードに移行します。
WatchGuard Endpoint Security では、RDP への総当たり攻撃後に侵害された認証情報 IOA が生成され、アカウントが侵害されたと見なされます。過去 24 時間にターゲット コンピューターに少なくとも 1 回接続を試行したすべての外部 RDP 接続がブロックされます。
「RDP 攻撃封じ込め」モードを終了するモードでコンピュータのリストを開くには、以下の手順を実行します。
- ステータス > 攻撃の指標 ダッシュボードの順に移動して、Threat Hunting サービスタイルで、すべてを表示 をクリックします。
「RDP 攻撃封じ込め」モードを終了するモードが有効化されているコンピュータが表示されるようにフィルタリングされた状態で、コンピュータの保護の状況 リストが開きます。
コンピュータの保護の状況 リストで赤い RDP 
アイコンが付いている場合は、「RDP 攻撃封じ込め」モードを終了するモードが有効化されているという意味です。WatchGuard Endpoint Security で 「RDP 攻撃封じ込め」モードを終了するモードが無効化されるまで、RDP アイコンがオレンジ色に点滅します。
「RDP 攻撃封じ込め」モードを終了
隔離モードが有効化されてから 24 時間後に、WatchGuard Endpoint Security で、RDP 経由の接続の試行回数が評価されます。これが既定のしきい値を下回っている場合は、WatchGuard Endpoint Security で、「RDP 攻撃封じ込め」モードを終了するモードが自動的に終了されます。試行が続いている場合は、隔離モードがさらに 24 時間続きます。
ネットワークの安全性が確認され、RDP 攻撃の危険性がなくなった場合は、コンピュータの詳細ページまたはコンピュータ リストのオプション メニューで、コンピュータの 「RDP 攻撃封じ込め」モードを手動で終了することができます。隔離モードを手動で終了すると、以下が発生します。
- コンピュータで記録およびブロックされていたすべての IP が解放される。
- コンピュータで RDP 接続が許可される。
WatchGuard Endpoint Security で、隔離モードが自動的に終了された場合は、IP は解放されず、引き続きブロックされます。
コンピュータの詳細ページで 「RDP 攻撃封じ込め」モードを終了するには、以下の手順を実行します。
- リストから、コンピュータを選択します。
コンピュータの詳細ページが開きます。通知ボックスに、コンピュータが 「RDP 攻撃封じ込め」モードを終了するモードになっていることが示されます。 - モードをオフにするには、「RDP 攻撃封じ込め」モードを終了 をクリックします。
コンピュータ リストで 「RDP 攻撃封じ込め」モードを終了するには、以下の手順を実行します。
- コンピュータ を選択します。
- 自分の組織 タブで、「RDP 攻撃封じ込め」モードを終了するモードを終了するコンピュータが含まれているグループを選択します。
- コンピュータ ページで、「RDP 攻撃封じ込め」モードを終了するモードになっているコンピュータの行で
をクリックします。
「RDP 攻撃封じ込め」モードを終了するモードの Windows コンピュータには、IP アドレスの横に赤い RDP アイコンが表示されます。 - オプション メニューで、「RDP 攻撃封じ込め」モードを終了 を選択します。
WatchGuard Endpoint Security で 「RDP 攻撃封じ込め」モードを終了するモードが無効化されるまで、RDP アイコンがオレンジ色に点滅します。
コンピュータの隔離ステータス
「RDP 攻撃封じ込め」モードを終了するモードが終了されると、WatchGuard Endpoint Security では、直ちにすべての受信者コンピュータにコマンドが送信されます。デバイスへのアクセスが可能な状態で、リアルタイム通信が有効化されている場合は、アクションが直ちに実行されます。
WatchGuard Endpoint Security からコンピュータに接続できない場合は、コンピュータで隔離モードが継続されます。WatchGuard Endpoint Security から、向かう 7 日間にわたり、4 時間ごとにコマンドが送信されます。アクションを完了できない場合は、Endpoint Security 管理 UI に、コンピュータ ステータスが 「RDP 攻撃封じ込め」モードを終了するモードとして表示されます。